Търсене
Close this search box.

Нов зловреден софтуер представлява сериозна заплаха за корпоративните мрежи

Задълбочен анализ на наскоро открит зловреден софтуер, наречен Decoy Dog (куче примамка), разкри, че той е значително подобрен спрямо Pupy RAT – троянски кон за отдалечен достъп с отворен код, който е създаден по негов модел.

„Decoy Dog има пълен набор от мощни, непознати досега възможности – включително способността да премества жертвите на друг контролер, което им позволява да поддържат комуникация с компрометираните машини и да останат скрити за дълги периоди от време“, казва Infoblox в доклад от вторник. „Някои жертви са комуникирали активно със сървър на Decoy Dog в продължение на повече от година.“

Други нови функции позволяват на зловредния софтуер да изпълнява произволен Java код на клиента и да се свързва с контролери за спешни случаи, като използва механизъм, който е подобен на традиционния алгоритъм за генериране на DNS домейни (DGA), като домейните на Decoy Dog са разработени така, че да отговарят на възпроизведени DNS заявки от пробити клиенти.

„Decoy Dog е добавила функционалност, която не е налична в Pupy“, казва д-р Рене Бъртън, ръководител на отдела за разузнаване на заплахи в Infoblox, пред The Hacker News. „По-специално, то има команда, която казва на компрометираното устройство да спре да говори с текущия контролер и да започне да говори с друг контролер. Можем да определим това с помощта на статистически анализ на DNS заявките“.

Сложният инструментариум е открит за първи път от фирмата за киберсигурност в началото на април 2023 г. след засичане на аномална активност на DNS маяците, което разкрива силно насочените му атаки срещу корпоративни мрежи.

Произходът на Decoy Dog засега остава неясен, но се предполага, че се управлява от шепа хакери от национални държави, които използват различни тактики, но отговарят на входящи заявки, които съответстват на структурата на комуникацията с клиента.

Decoy Dog използва системата за имена на домейни (DNS), за да осъществява командване и контрол (C2). Крайната точка, която е компрометирана от зловредния софтуер, комуникира с контролер (т.е. сървър) и получава инструкции от него чрез DNS заявки и отговори на IP адреси.

Твърди се, че участниците в заплахата, които стоят зад операцията, са направили бързи корекции в инфраструктурата си за атаки в отговор на по-ранните разкрития, като са свалили някои от DNS сървърите за имена, както и са регистрирали нови заместващи домейни, за да установят дистанционна устойчивост.

„Вместо да прекрати дейността си, участникът прехвърля съществуващите компрометирани клиенти към новите контролери“, отбелязва Infoblox. „Това е изключителна реакция, която показва, че извършителят е сметнал за необходимо да запази достъпа до съществуващите си жертви.“

Първото известно разгръщане на Decoy Dog датира от края на март или началото на април 2022 г., след което са открити три други клъстера, които са под контрола на различни контролери. Към днешна дата са открити общо 21 домейна на Decoy Dog.

Нещо повече, един набор от контролери, регистрирани от април 2023 г., се е адаптирал, като е включил техника за геофенсинг, за да ограничи отговорите към клиентски IP адреси до определени местоположения, като наблюдаваната активност е ограничена до Русия и Източна Европа.

„Липсата на разбиране за основните системи на жертвите и уязвимостите, които се използват, прави Decoy Dog постоянна и сериозна заплаха“, казва Бъртън. „Най-добрата защита срещу този зловреден софтуер е DNS.“

„Очакваме участниците да се променят самостоятелно въз основа на новите доклади. Участниците могат да променят някои аспекти на своя C2, например кодирането, сравнително лесно, но други елементи са трудни за промяна и са присъщи на избора им на DNS като C2 механизъм.“

„Истинският въпрос е защо те са избрали да модифицират Pupy за своя C2? Какво е това в този RAT, от което те се нуждаят или което желаят за тези операции? Има много други избори, но те са направили този, когато не е известно друго злонамерено внедряване на Pupy в миналото. Как ще реагират на нашата актуализация ще зависи от това защо са избрали да направят или използват Decoy Dog на първо място.“

Източник: The Hacker News

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
Бъдете социални
Още по темата
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
16/05/2024

Ascension Healthcare претър...

Атаката прекъсна достъпа до електронните здравни...
14/05/2024

DNS тунелирането се използв...

Наблюдавани са  киберпрестъпни групи, които използват...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!